『詐欺メール』『【重要】PayPayアカウントのご利用を制限している』と、来た件

日本語が不慣れな方からか

※ご注意ください！
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速にをもっとうにご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません！
リンク先は正規サイトを模した偽のコピーサイトで、フォームにアカウント情報や
クレジットカードの入力させそれらの情報を詐取しようとします。
被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリをお使いになってログインするよう
心掛けてください！
また、気が付かずにログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。

1. ★フィッシング詐欺解体新書★

★フィッシング詐欺解体新書★

『セキュリティシステムの大幅なアッブグレード』にご注意を！

詐欺メールの最近のトレンドは『セキュリティシステムの大幅なアッブグレード』ですね。
今度は、PayPayの名を騙った上でトレンドワードを使い詐欺メールが送られてきました。

サラサラと読み進めてみると、丁寧な日本語で書かれていてぱっと見違和感の無いように思いますが、
再度読み返してみると2箇所おかしなところを発見。
『カードのご利用制限がかけされる』
『お客様にはご迷惑ご心配をお掛ナし』
さてはお主、日本人ではないな？！(笑)

それにどうしてシステムをアップグレードすると個人情報を再確認する必要があるのでしょうか？
当然最初にアカウント登録した情報がPayPayには残っているはずなのにおかしなことを言いますね。

では、このメールを解体し詳しく見ていきましょう！
まずはプロパティーから見ていきましょう。

件名は『[spam] 【重要】PayPayアカウントのご利用を制限している』
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。

差出人は
『”PayPay” <fuwu@aklq.cn>』
皆さんはご存じでしょうか？
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。

皆さんご承知の通りPayPayさんの公式なドメインは”paypay.ne.jp”で、このような中国の
ドメインではありません！
それにこのような文字数の少ない貴重なドメインのメールアドレスを詐欺メールに使うのも
違和感があるので、このメールアドレスも眉唾物。
その辺りを次の項で詳しく調べてみます。

文字数の少ない貴重なドメインのメールアドレスを詐欺に使うはずない

では、このメールがフィッシング詐欺メールであることを立証していきましょうか！
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。

Received：『from viD.bry (unknown [45.249.245.176])』

では、メールアドレスにあったドメイン”aklq.cn”が差出人本人のものなのかどうかを調べてみます。

これがドメイン”aklq.cn”の登録情報です。
これによると”45.249.245.176”がこのドメインを割当てているIPアドレス。
本来このIPは”Received”のIPと同じ数字の羅列になるはずですが、それが全く異なるので
このメールのドメインは”aklq.cn”ではありません。
これでアドレスの偽装は確定です！
こんな文字数の少ない貴重なドメインのメールアドレスを使うはずないもんね！

”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
記載されている末尾の数字は、そのサーバーのIPアドレスになり、これを紐解けば差出人の素性が
見えてきます。
このIPアドレスを元に送信に使われた回線情報とその割り当て地を確認してみます。

送信に利用されたのは、『Ucloud Information Technology』と言う中国のプロバイダーです。

位置情報は、IPアドレスを元にしているので、かなりアバウトな位置であることを
ご承知いただいた上でご覧ください。

代表地点としてピンが立てられたのは、『香港』付近です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。

詐欺サイトは現在接続不可な状態

では引き続き本文。

※いつもPayPayをご利用いただき、ありがとうございます。

当社では、フィッシング(※)による不正出金被害防止のため、この度、当社セキュリティシステムの大幅なアッ
ブグレードを実施しており、ご登録された個人情報を再確認する必要がございます。

つきましては、以下ヘアクセスの上、ご登録された個人情報の確認にご協力をお願致します。

→ 続けるにはこちらをクリック

※メールを受け取ったお客さま専用のページです。ほかのお客さまはご利用いただけません。

ご確認をいただけない場合、カードのご利用制限がかけされる恐れがございますので、予めご了承下さい。

お客様にはご迷惑ご心配をお掛ナし、誠に申し訳ございません。

このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。
そのリンクは『→ 続けるにはこちらをクリック』って書かれたところに付けられていて、
そのリンク先のURLとトレンドマイクロの『サイトセーフティーセンター』での危険度評価がこちらです。

既にしっかりブラックリストに登録済みですね。
リンクへ移動してもサイトはブロックされるでしょう。

このURLで使われているドメインは”payppypa.icu”
このドメインにまつわる情報を取得してみます。

おや？
『対応するIPアドレスがありません』と言うことは、このドメインはどのIPアドレスにも
割り当てられていないので利用ができない状態のようです。
管理者は国内の石川県の方のようですが、それ以外はプライバシー保護で見ることができません。

まとめ

IPアドレスに割り当てられていないドメインなので当然このドメインを使ったサイトは閲覧不可ですから
詐欺を行うことは不可能で、今のところトレンドマイクロの『サイトセーフティーセンター』の評価に
相対して安全ですね。
でも逆にIPアドレスに割当てればいつでも復活可能な状態だとも言えるので、安心はできませんよ。

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;

こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切！
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に！(*^^*)